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摘要 : [目的 /意义 ] 从 理论 上 总 结 分 析 国 外 个 人 数据 保护 官 的 含义 、 类 型 .职责 与 能 力 素质 要 求 ,为 我 国 实 
践 领域 的 应 用 提供 学 术 上 的 分 析 和 建议 。[ 方 法 /过 程 ] 通 过 文献 回溯 检索 考查 个 人 数据 保护 官 的 起 源 和 含义 ; 
参考 领 英 平台 个 人 数据 保护 官 招聘 公告 以 及 美国 0 * NET 系统 相关 职业 的 规范 模型 ,以 KSAO 模型 以 及 杨 和 


查 普 曼 的 能 力 模型 为 基础 ,从 风险 管理 视角 归纳 总 结 


国外 个 人 数据 保护 官职 责 体系 和 能 力 素质 要 求 。[ 结果 / 


结论 ] 目 前 国外 个 人 数据 保护 官 的 类 型 多 样 ,有 业务 类 型 也 有 顾问 类 型 ,有 决策 层 的 也 有 基层 的 。 从 风险 管理 
视角 来 看 ,个 人 数据 保护 官 承 担 隐私 法 律 风 险 管 控 的 重要 职责 ,而 胜任 这 些 职 责 , 则 需要 具有 相应 隐私 法 律 知 
识 、 信 息 分 析 知 识 等 ,应 具有 问题 敏感 性 、 解 决 问题 ,善于 沟通 等 能 力 ,应 具有 注重 细节 、 适 应 复杂 和 快捷 工作 环 


最 等 特质 。 
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能 力 素 质 职责 


当今 社会 ,隐私 泄露 个 人 信息 买卖 已 不 是 个 案 ， 
越 米 越 多 的 国家 和 地 区 联盟 采用 法 律 法 规 强 制 手段 
来 治理 这 种 现象 。 近 期 在 国际 上 影响 广泛 的 法 规 是 
2018 年 5 月 生效 的 欧盟 《一 般 数 据 保护 条 例 》( Gen- 
eraBData Protection Regulation, GDPR) 。 为 了 符合 相 
应 污 律 法 规 要 求 , 各 组 织 机构 特 别 是 涉及 跨国 个 人 
数据 流 的 企业 ,纷纷 开始 设置 个 人 数据 保护 官职 位 ， 
FRIMA Z ,如 国际 性 社交 平台 领 英 (Linkedin) 上 
胃 现 大 量 个 人 数据 保护 官职 位 招聘 公告 。 然 而 ， 
个 人 数据 保护 官 是 一 种 新 兴 职 业 ,无 论 是 在 学 术 上 
还 是 在 规范 的 职业 分 类 系统 中 ,都 缺乏 描述 其 工作 
职责 知识 结构 和 能 力 素 质 要 求 等 方面 的 职业 模型 ， 
各 组 织 机 构 招聘 这 类 人 员 时 ,对 招聘 什么 样 的 人 、 赋 
予 其 什么 样 的 责任 等 都 存在 很 大 模糊 性 。 笔 者 以 领 
英 平台 上 个 人 数据 保护 官 招聘 公告 为 主要 信息 源 ， 
参考 美国 O * NET 职业 系统 相关 职业 的 规范 模型 ,从 
风险 管理 视角 ,以 描述 职业 能 力 素质 的 KSAO 模型 以 
及 杨 和 查 普 曼 的 能 力 模 型 为 基础 ,归纳 并 分 析 国 外 
个 人 数据 保护 官 的 职责 、 知 识 结 构 和 能 力 素质 的 普 
遍 要 求 ,为 我 国 实践 领域 的 应 用 提供 学 术 上 的 分 析 


1 国内 外 研究 现状 


通过 文献 搜索 和 领 英 平 台 职 位 招聘 公告 (Linke- 
din; https ;//www. linkedin. com) 的 查询 ,个 人 数据 保护 
官 的 职位 头衔 多 种 多 样 ,使 用 比较 多 的 有 “首席 隐私 
官 ”(Chief Privacy Officer, CPO) |“ PAW E” (Privacy Of- 
ficer) 和 “数据 保护 官 ”( Data Protection Officer, DPO ) 等 。 
除非 有 专 指 , 本 文 一 般 用 “个 人 数据 保护 官 ”为 统称 。 

笔者 利用 百度 学 术 (包括 CNKI WOS , SCIENCE- 
DIRECT 等 中 英文 重要 数据 库 书 目 信息 的 发 现 系统 ) 
进行 搜索 并 获取 原文 ,分 别 获 得 个 人 数据 保护 官 相关 
中 外 文 文献 各 10 余 篇 。 中 中 文 文献 在 内 容 上 可 分 为 
两 大 方面 ,一 是 学 者 提出 观点 ,如 建议 我 国 大 的 机 构 应 
该 建立 类 似 首 席 隐私 官 的 个 人 信息 或 者 数据 信息 安全 
主管 制度 ,认为 隐私 官 这 个 职位 的 设置 是 对 用 户 的 一 
PRR ;一 是 介绍 现 有 国内 外 CPO 的 观点 ,如 芝麻 
信用 CPO 认为 CPO 是 为 用 户 权 益 代 言 的 .负责 公司 信 
息 管理 体系 并 监督 落实 ” ,360 奇 虎 CPO 认为 CPO 是 
处 理 隐私 的 各 项 政策 .审核 用 户 协议 .保证 公司 产品 符 
合 国家 法 律 法 规 、 进 一 步 提 高 公司 现行 隐私 保护 制度 
等 -5 ,微软 CPO 表示 其 工作 是 提出 企业 数据 保密 政 
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策 .监督 企业 保护 用 户 的 隐私 以 及 培训 员工 加 , 邓 白 氏 
CPO 认为 隐私 工作 是 合 规 工作 的 一 个 附加 领域 中 等 。 
@ 国 外 文献 主要 是 对 CPO 或 者 DPO 的 研究 。 对 CPO 
的 研究 目前 很 多 是 从 CPO 帮助 企业 发 展 视角 进行 的 ， 
如 美国 学 者 调查 了 11 家 本 国企 业 CPO ,认为 CPO 应 当 
是 企业 隐私 问题 的 处 理 者 .是 与 公众 交流 的 公关 者 ,应 
与 政府 或 立法 机 构 合 作 解 决 隐私 问题 ”; 韩 国学 者 调 
查 了 71 家 韩国 组 织 机 构 的 CPO ,认为 对 韩国 组 织 机 构 
隐私 绩效 影响 方面 ,CPO 的 外 交角 色 和 技术 知识 背景 
有 显著 的 正 向 影响 ,而 信息 角色 战略 角色 以 及 法 律 和 
商务 知识 背景 没有 显著 影响 ” ;J. M. Pemberton 等 指 
出 CPO 最 重要 的 职责 是 监控 信息 系统 以 确保 其 安全 ， 
要 让 董事 会 成 员 意 识 到 隐私 的 商业 价值 ,认为 CPO 应 
其 有 技术 和 人 文 知 识 背景 ,认为 CPO 的 含义 会 不 断 变 
MT 。 对 DPO 的 研究 目前 主要 是 解读 GDPR 的 DPO 
规则 ,如 根据 GDPR 解读 DPO 的 角色 和 地 位 ,强调 
DEO 工作 的 独立 性 ,强调 DPO 对 相关 法 律 知识 .技术 
识 和 组 织 管理 知识 的 掌握 等 ” ;对 35 个 欧洲 各 领 
域 网 站 数据 主体 访问 接口 情况 进行 调查 ,从 DPO 职责 
袖 硼 分 析 这 些 网 站 存在 的 问题 并 提出 改进 建议 。 

CJ 概括 来 讲 ,目前 相关 文献 数量 不 多 但 发 表 时 间 跨 


视 包 括 CPO 在 内 的 各 类 个 人 数据 保护 官职 位 的 设置 。 

数据 保护 官 DPO 首先 是 由 欧盟 成 员 国 在 20 世纪 
末 21 世纪 初 提出 来 的 ,如 德国 和 法 国 的 数据 保护 法 
律 都 提出 建立 这 个 角色 ””。 欧 洲 司法 组 织 (Euro- 
just) 于 2002 年 2 月 发 布 “欧洲 司法 组 织 决定 ”( Euro- 
just Decision) ,提出 要 在 欧洲 司法 组 织 设立 DPO 以 监 
督 执 行 该 组 织 的 个 人 数据 和 隐私 的 保护 ，”!。 对 全 球 
企业 提出 建立 DPO 职位 的 是 欧盟 2012 年 发 布 的 GD- 
PR2012 建议 案 ,随后 在 其 2016 年 发 布 的 GDPR 中 对 
此 正式 加 以 明确 。GDPR 并 没有 对 DPO 进行 定义 ,但 
通过 规范 明确 了 其 在 组 织 机 构 中 的 地 位 和 任务 :DPO 
是 恰当 、 及 时 参与 所 有 个 人 数据 保护 的 管理 者 ,负责 监 
管 所 在 组 织 机 构 个 人 数据 安全 策略 以 及 保证 该 策略 满 
E GDPR 合 规 性 要 求 ” 。GDPR 的 要 求 是 强制 性 的 ， 
在 全 球 引 起 了 巨大 反响 。 
2.2 个 人 数据 保护 官 的 岗位 类 型 

笔者 于 2018 年 2 月 -3 月 期 间 多 次 分 别 使 用 检索 
WJ“ CDPR " " data protection” “ Privacy officer" fi" data 
privacy" 在 领 英 平台 职位 查询 系统 中 查询 相关 职位 (全 
职 或 兼职 ) 的 招聘 公告 ,命中 记录 约 有 1 600 余 条 。 在 
“工作 职能 "栏目 的 聚 类 信息 中 列 有 销售 、 金 融 、 医 疗 


jur 


BER, M 2000 到 2018 年 ,显示 出 该 问题 研究 的 不 成 熟 
性 和 发展 性 。 在 内 容 上 ,目前 的 研究 成 果 对 个 人 数据 


保护 官 的 角色 地位、 知识 结构 等 都 有 一 定 涉猎 ,也 认 
讽 到 个 人 数据 保护 官 是 一 个 发 展 中 的 概念 ,其 职责 变 
EKRAR ,但 还 缺乏 从 职业 视角 对 个 人 数据 
保护 官 进行 深入 的 研究 。 


2 个 人 数据 保护 官 的 起 源 、 含 义 和 类 型 
2.1 个 人 数据 保护 官 的 起 源 与 含义 

“个 人 数据 保护 官 "类 中 ,出 现 比 较 早 且 影 响 比较 
大 的 是 首席 隐私 官 CPO。 根 据 搜集 的 资料 , 早 在 1994 


年 美国 威 瑞 森 通信 公司 就 开始 任命 CPO ^ ,1999 年 至 
2000 年 间 CPO 开始 在 欧美 企业 兴起 , 且 将 CPO 界定 
为 专门 处 理 与 用 户 个 人 隐私 相关 事宜 责任 的 高 层 管理 
AR. 美国 IBM 公司 于 2001 年 任命 了 公司 首位 
CPO ,其 任命 引起 了 世界 范围 的 关注 ""”。 然 而 随 着 金 
融 危机 的 到 来 和 冲击 ,这 一 职位 被 认为 存在 必要 性 不 
强 而 发 展 停滞 ,这 种 现象 持续 了 10 年 左右 。 随 着 物 联 
网 云 计算 .大 数据 等 各 种 信息 技术 的 发 展 和 应 用 ,万 
其 是 欧盟 2012 年 发 布 4 统一 数据 保护 条 例 一 一 欧盟 委 
员 会 2012 年 建议 案 》( 以 下 简称 “GDPR2012 建议 
Z”) 2016 年 发 布 GDPR 以 来 ,国内 外 企业 又 开始 重 
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服务 人 员 信息 技术 .业务 开发 法律、 管理 .人 力 资 源 、 
策划 /规划 \ 质 检 顾问 、 分 析 师 、 客 户 服务 等 多 种 职能 
类 型 。 如 此 广泛 的 职能 类 型 ,反映 了 目前 有 关 个 人 数 
据 保护 官职 位 的 设置 五 花 八 门 ,也 反映 了 组 织 机 构 通 
常 也 会 要 求 其 他 职位 人 员 承 担 个 人 数据 保护 的 责任 。 
领 英 平台 将 所 有 职位 划分 为 高 管 人 员 PAR DIR, 
助理 和 总 监 /主管 ,各 级 别 中 常 出 现 的 个 人 数据 保护 官 
头衔 名 称 如 表 1 所 示 : 
表 1 领 英 平台 个 人 数据 保护 官职 位 头衔 的 名 称 
职位 级 别 职位 头衔 名 称 
高 管 人 员 ”首席 数据 保护 官 .首席 隐私 官 ,数据 隐私 伙伴 /数据 保护 官 、 合 
作 伙 伴 网 络 安全 与 隐私 ,数据 隐私 官 与 首席 合 规 官 , 数 据 隐私 
官 、CIO .首席 信息 安全 官 .CDPR 架构 师 等 
中 高 级 。 数据 隐私 项 目 经 理 .隐私 合 规 官 .隐私 项 目 经 理 ,数据 保护 官 、 
首席 隐私 官 .隐私 经 理 、 安 全 合 规 与 数据 隐私 主任 、 安 全 与 隐私 
高 级 经 理 、 合 规 经 理 、 信 息 治 理 与 安全 主管 .CDPR 数据 保护 与 
合 规 官 ,全 球 数据 安全 官 等 
初级 。 数据 安全 官 隐私 和 安全 顾问 、 安 全 和 隐私 专家 、 隐 私 管理 
家 、 隐 私 专家 、 隐 私 分 析 师 ,隐私 主任 .隐私 管理 官 .GDPR 数据 
隐私 官 等 
助理 。 ”隐私 顾问 ,隐私 主任 ,隐私 与 合 规 官 ,CDPR 信息 经 理 、 数 据 保 
护 与 隐私 管理 ,数据 隐私 分 析 员 、GDPR 顾 间 、 隐 私 和 数据 保护 
顾 间 等 
总 监 /主管 ”隐私 总 监 ,法 律 隐私 顾问 ,客户 数 据 总 监 -GDPR 合 规 官 法 律 
隐私 顾问 竺 


T 
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根据 领 英 平台 个 人 数据 保护 官 招聘 公告 ,个 人 数 
据 保 护 官职 位 类 型 有 以 下 3 个 特点 : 

(1) 职 位 包含 监管 顾问 类 和 业务 类 。 监 管 顾问 类 
包括 法 律 顾问 和 合 规 总 监 职位 类 型 。 在 表 1 中 2 -4 
行 所 列 的 都 是 业务 类 职位 ,有 多 级 类 型 。 另 外 ,5 个 职 
位 级 别 中 都 有 包含 “GDPR” 的 职位 名 称 ,凸显 了 GDPR 
的 影响 力度 。 

(2) 个 人 数据 保护 官职 位 头衔 名 称 中 有 的 同时 出 
现 “ 数 据 ”( data) 与 “隐私 ”(privacy)。 如 德国 Citco 集 
招聘 的 “GDPR - Data Privacy Officer”、 美 国 Ipreo 集 
招聘 的 “Data Privacy and Security Specialist”。 这 种 
现象 显示 出 在 个 人 数据 保护 官 称呼 方面 各 国 还 没有 给 
出 规范 的 职业 名 称 。 

斌 (43) 个 人 数据 保护 官 与 合 规 官 和 信息 安全 官 的 关 
系 非常 密切 。 合 规 官 起 源 于 金融 行业 ,后 在 多 个 行业 
得 以 发 展 ,其 职责 是 监督 和 管理 组 织 内 部 合 规 问题 的 
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未 设置 与 个 人 数据 保护 官 对 应 的 职业 ,但 列 有 部 分 相 
关 职 业 , 如 ISCO 系统 包括 了 合 规 官 .CIO 、 安 全 专家 等 
相关 职业 ,然而 提供 的 职业 规范 内 容 很 少 。 美 国 0 * 
NET 包括 了 合 规 官 、 风 险 管理 员 信息 安全 分 析 师 等 相 
关 职 业 的 规范 ,内 容 比较 全 面 , 可 对 研究 个 人 数据 保护 
官 提供 参考 。 
GDPR 规定 了 5 项 DPO 至 少 要 承担 的 任务 ,包括 
协助 和 监督 数据 控制 者 与 处 理 者 遵守 CDPR 规定 和 欧 
盟 其 他 成 员 国 相关 规定 \ 协 助 和 监督 数据 保护 影响 评 
估 .协助 监管 机 构 工 作 并 充当 监管 机 构 联络 点 等 ” 。 
“风险 管理 ”是 指 在 成 本 约束 条 件 下 将 风险 发 生 
概率 和 风险 发 生 后 果 降低 到 最 小 程度 ,包括 风险 的 识 
别 \ 分 析 、 评 估 和 应 对 计划 ,后 者 又 包括 风险 管理 目标 
确定 、 风 险 管理 方案 策划 与 实施 。 该 思想 和 方法 自古 
有 之 ,但 美国 所 罗 门 ， 许 布 纳 博士 于 1930 年 首次 将 其 
称 之 为 “风险 管理 “” ,目前 该 理论 和 方法 被 广泛 应 


袖 答 官员 。 个 人 数据 保护 官 的 一 个 重要 职责 就 是 
防 落 所 在 组 织 机 构 违 反 相关 法 律 法 规 和 行业 规范 , 承 
提 痢 组 织 机 构 合 规 管理 中 个 人 数据 保护 方面 的 责任 。 
依 寻 安全 富 所 承担 的 保护 信息 内 容 安全 的 范畴 包括 了 
从 数据, 个 人 数据 保护 官 其 宗旨 是 防范 个 人 信息 湛 
路- 这 种 保护 离 不 开 信息 技术 与 信息 安全 管理 。 

“如 上 所 述 ,个 人 数据 保护 官 的 职位 类 型 很 多 ,不 同 
类 将 职 位 的 个 人 数据 保护 官 其 职责 也 定 会 不 同 ,限于 
篇 星 , 以 下 将 个 人 数据 保护 官 作 为 一 种 职业 ,来 讨论 这 
个 颈 体 职业 的 职责 以 及 相应 的 能 力 素 质 要 求 。 


3 “个 人 数据 保护 官 的 职责 


GDPR 第 39 条 “数据 保护 官 "规定 了 DPO 的 最 基 
本 任务 ,重点 是 对 数据 控制 者 及 处 理 者 执行 CDPR 要 
求 的 通知 ,监督 和 培训 工作 。 领 英 招 聘 平 台 上 各 类 个 
人 数据 保护 官 招聘 公告 列 出 的 职责 差异 很 大 ,但 共同 
的 关键 职责 之 一 都 是 要 求 能 够 具体 实施 隐私 法 律 风险 
管理 。 
3.1 个 人 数据 保护 官职 责 内 容 框架 构建 

本 章 将 借鉴 相关 职业 的 规范 、GDPR 的 规定 ,依据 
风险 管理 理论 来 构建 国外 个 人 数据 保护 官 的 职责 内 容 
框架 。 

各 国 通常 都 会 对 比较 成 熟 的 职业 进行 分 类 ,规定 
其 最 基本 的 职责 .知识 .技能 和 能 力 要 求 。 目 前 国际 劳 
工 组织 制 定 的 《国际 标准 职业 分 类 》( International 
Standard Classification of Occupations , ISCO ) .美国 国家 
职业 分 类 系统 (0 * NET) 的 在 线 系统 等 标准 ” ,都 还 


用 。 根 据 GDPR 对 DPO 的 规定 以 及 领 英 平 台 上 个 人 
数据 保护 官 招聘 公告 ,可 以 看 出 个 人 数据 保护 官 的 本 
质 是 进行 隐私 法 律 风险 管理 、 预 防 组 织 机 构 出 现 违 反 
相关 法 律 法 规 的 行为 。 因 此 笔者 依据 风险 管理 理论 和 
方法 总 结 国外 个 人 数据 保护 官 的 工作 职责 ,如 图 1 所 
ZN: 


对 接 监管 部 门 ya 
和 用 户 Dm 


图 1 个 人 数据 保护 官 工作 职责 内 容 框架 


3.2 个 人 数据 保护 官 各 项 职责 内 容 分 析 

(1) 识 别 . 分 析 和 评估 隐私 法 律 风 险 。 在 个 人 数 
据 保 护 方面 ,一 个 组 织 机 构 面临 的 风险 主要 包括 法 律 
风险 和 运营 风险 。 这 里 ,法律 风 险 是 指 组 织 机 构 因 违 
反 相 关 法 律 法 规 以 及 行业 规范 而 受到 法 律 或 行业 的 制 
裁 ; 运 营 风 险 是 指 由 于 组 织 机 构 没 能 有 效 防 止 用 户 或 
职员 个 人 数据 泄露 而 使 自己 陷入 困境 ,如 商家 信誉 下 
降 .客户 流失 等 。 笔 者 着 重 讨论 第 一 类 风险 背景 下 的 
个 人 数据 保护 官职 责 。 具 体内 容 包括 :确定 识别 和 分 
析 隐 私 风险 的 依据 ,识别 和 分 析 隐 私法 律 风险 的 类 型 、 
发 生 的 概率 和 后 果 、 发 生 的 阶段 和 引发 因素 ,评估 风险 
影响 程度 并 按照 优先 处 理 顺 序 进行 排序 。 开 展 这 项 工 
作 时 需要 注意 :注意 相关 法 律 法 规 的 更 新 ;@) 注 意 分 
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图 二 情报 三 作 
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析 风 险 问题 产生 源 ;@ 注 意 各 种 信息 技术 和 信息 设备 
的 安全 性 。 显 然 ,完成 上 述职 责 ,个 人 数据 保护 官 必须 
要 与 组 织 机 构 其 他 岗位 人 员 ( 如 合 规 官 .信息 安 全 官 、 
CIO 业务 部 门 、 信 息 技术 员 等 ) 密切 合作 。 

(2) 协 助 制定 隐私 法 律 风险 管理 目标 。 风 险 管理 
目标 包括 回避 、 转 移 或 应 对 三 大 类 型 :回避 风险 是 指 
组 织 机 构 放 弃 采 集 个 人 数据 ,相应 的 也 就 不 得 不 放弃 
利用 个 人 数据 可 获得 的 利益 。@ 转 移 风 险 是 指 通 过 合 
作 将 风险 转移 给 第 三 方 或 者 通过 开脱 责任 合同 将 风 
险 转移 给 用 户 。 如 苹果 公司 2018 年 1 月 向 其 用 户 发 
邮件 表示 已 将 中 国内 地 客户 个 人 数据 存储 在 云 上 贵 
州 ,苹果 公司 的 这 种 做 法 ,虽说 是 为 了 遵循 我 国 的 法 律 
要 求 ,但 同时 也 将 个 人 数据 存储 安全 风险 部 分 转移 给 
到 去 上 贵州 。@ 应 对 风险 是 指 将 风险 自 留 , 并 通过 条 
取 插 施 针对 引发 风险 发 生 的 因素 进行 控制 和 玻 导 , 具 
体内 容 见 本 小 节 (3) - (6) 。 由 于 风险 管理 目标 的 确 
际 上 对 应 着 组 织 机 构 的 整体 目标 ,所 以 应 由 组 织 
筒 最 高 决策 者 决定 ,个 人 数据 保护 官 主要 是 提供 参 
诬 司 法 律 咨 询 。 
中 〇 G3) 规划 隐私 法 律 风 险 管理 内 容 。 主 要 形式 是 制 
尝 隐私 政策 ,包括 面向 用 户 的 “隐私 政策 "和 面向 本 机 
梅 世 及 合作 机 构 员工 遵守 的 隐私 法 律 风险 管理 政策 。 
博 前 用 户 的 “隐私 政策 "的 语言 形式 应 是 用 户 明白 易 
懂 z 符 合用 户 隐私 认 知 的 。 面 向 内 部 的 ,需要 注意 两 
目前 很 多 个 人 数据 汇 露 是 从 内 部 发 生 , 需 要 通过 


NN. 
put 


政策 内 容 改进 内 部 个 人 数据 保护 的 权限 和 程序 ;@ 要 


律 风 险 事故 报告 。 另 外 ,个 人 数据 保护 官 作为 评估 人 ， 
还 需要 对 本 机 构 业 务 活动 进行 隐私 法 律 合 规 审计 , 监 
督 新 技术 和 大 数据 使 用 的 合 规 性 。 

(6) 对 接 监管 部 门 和 用 户 。 个 人 数据 保护 官 是 组 
织 机 构 开 展 个 人 数据 保护 活动 对 外 的 接触 点 。 与 
监管 部 门 的 对 接 ,需要 清晰 、 正 确 地 理解 监管 部 门 的 要 
求 ,同时 需要 准确 、 及 时 地 向 监管 部 门 汇报 本 组 织 机 构 
相应 的 措施 和 存在 的 问题 ;与 用 户 对 接 ,包括 受理 用 户 
有 关 隐 私 泄露 的 投诉 ,记录 跟踪、 调查 和 阻止 泄露 继 
续 发 生 ,以 及 处 理 善后 工作 。 与 用 户 对 接 ,首先 应 将 联 
系 方式 清楚 地 在 网 站 或 软件 上 显示 。 目 前 ,有 学 者 调 
研 了 欧洲 研究 人 员 通 过 访问 欧洲 网 站 寻找 个 人 数据 控 
制 者 联系 方式 ,平均 要 花费 4.5 分 钟 , 且 通 过 互联 网 方 
式 查 询 到 数据 控制 者 联系 方式 的 成 功率 仅 为 70%'， 
整体 效率 比较 低 ,反映 了 目前 对 接 用 户 方面 各 组 织 机 
构 做 的 还 很 不 到 位 。 


4 ”个 人 数据 保护 官能 力 素 质 要 求 

笔者 以 人 力 资源 领域 常用 的 KSAO 模型 为 基础 ， 
分 析 目 前 国外 个 人 数据 保护 官 的 能 力 素质 要 求 。 这 
里 ,K 代表 知识 (knowledge) ,S 代表 技能 (skil) .A 代 
表 能 力 (ability) .0 代表 其 他 要 素 (others) ,主要 是 指 人 
的 态度 和 个 性 。 目 前 , 领 英 招聘 公告 和 美国 0 * 
NET 系统 的 职业 规范 内 容 基本 都 应 用 了 KSAO 模型 。 
4.1 知识 与 技能 的 要 求 

个 人 数据 保护 官 所 应 具备 的 知识 和 技能 ,应 当 是 


确 拧 合作 机 构 的 个 人 数据 保护 政策 符合 本 机 构 的 要 


来 6 衣 点 随 着 各 种 外 包 业 务 越 来 越 多 而 日 显 重要 局 。 

(4) 部 署 和 监管 隐私 法 律 风险 管理 的 实施 。 执 行 
政策 需要 有 规范 的 流程 来 落实 和 推进 。 风 险 管理 实施 
方案 通常 包括 :OD 统一 思想 , 即 建立 起 组 织 机 构 个 人 数 
据 保护 的 风气 和 文化 ;@@ 分 解 管理 活动 , 即 明 确 员 工 与 
岗位 职责 的 匹配 ;@ 组 织 准备 , 即 构建 个 人 数据 保护 组 
织 体系 ,包括 人 员 和 部 门 ;@ 实 施 手段 , 即 促进 和 监督 
个 人 数据 保护 的 实施 ,在 促进 方面 可 以 通过 培训 和 日 
党 咨询 服务 实施 ,在 监督 方面 可 以 通过 阶段 性 检查 、. 受 
理 隐私 泄露 案件 投诉 等 。 

(5) 参 与 隐私 法 律 风险 管理 评估 。 通 常 大 的 企业 
或 者 金融 行业 都 开展 合 规 管理 工作 ,每 年 进行 合 规 评 
估 。 隐 私法 律 风险 管理 作为 合 规 管理 的 一 部 分 或 者 密 
切 相关 的 活动 ,需要 参加 单位 的 合 规 评估 ,个 人 数据 保 
护 官 需要 向 合 规 官 .审计 官 或 总 法 律 顾问 提交 隐私 法 
律 风 险 识别 结果 、 隐 私法 律 风 险 管理 方案 以 及 隐私 法 
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以 完成 该 职位 职责 为 目标 。 根 据 本 文 第 3 节 内 容 , 可 
以 总 结 出 个 人 数据 保护 官 应 具备 以 下 关键 知识 和 技 
fE: 

(1) 相关 法 律 法 规 知 识 和 行业 规范 知识 。 从 风险 
管理 角度 ,个 人 数据 保护 官 的 核心 是 化 解 隐 私法 律 风 
险 ,因此 ,法律 知识 和 行业 规范 知识 是 其 必 备 的 专业 知 
识 。 笔 者 从 领 英 平台 收集 到 的 首席 隐私 官 招聘 信息 ， 
绝 大 多 数 要 求 其 拥有 法 律 博士 学 位 ,足见 法 律 知识 是 
这 个 职业 最 基础 的 知识 要 求 。 

(2) 外 语 知识 。 在 互联 网 环境 下 ,个 人 数据 的 主 
体 用户 很 有 可 能 遍及 全 球 , 需 要 个 人 数据 保护 官 处 理 
不 同 国家 客户 或 用 户 的 隐私 法 律 风 险 投诉 ,外 语 知识 
不 可 或 缺 ,尤其 是 英语 的 听 说 . 读 、 写 应 当 达 到 一 定 水 

(3) 信息 技术 知识 和 信息 工具 使 用 技能 。 目 前 ， 
对 个 人 数据 的 采集 存储 和 处 理 更 多 是 依赖 信息 技术 
和 工具 ,掌握 这 些 技 术 和 工具 的 使 用 方法 ,个 人 数据 保 
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护 官能 更 敏锐 地 识别 和 分 析 隐 私法 律 风险 。 

(4) 其 他 相关 知识 和 技能 。 个 人 数据 保护 官 属于 
管理 类 职业 ,应 当 掌握 基本 的 管理 知识 。 另 外 ,个 人 数 
据 保护 官 需要 与 业务 部 门 沟通 ,合作 开展 个 人 数据 保 
护 ,应 当 掌 握 基本 的 行业 知识 ,如 信息 服务 行业 的 个 人 
数据 官 应 了 解 信息 服务 的 业务 知识 ,金融 行业 的 个 人 
数据 官 应 了 解 财务 金融 业务 知识 等 。 
4.2 个 人 数据 保护 官 的 能 力 与 其 他 特质 要 求 

对 于 成 熟 的 职业 ,各 国 的 职业 分 类 系统 中 都 会 给 
出 关键 能 力 要 求 。 目 前 ,0 * NET 系统 包含 的 相关 职 
业 有 合 规 官 .风险 管理 员 ,信息 安全 分 析 师 ,安全 管理 
经 理 等 。 该 系统 提供 了 各 个 职业 的 能 力 ,职业 兴 趣 、 工 
作价 值 和 工作 风格 ,后 三 项 对 应 着 KSAO 模型 中 的 0 
(其 他 要 素 ) 。 上 述 相关 职业 共同 的 能 力主 要 包括 : 问 
题 歌 感性 、 推 理 能 力 (演绎 和 归纳 ) .表达 能 力 、 理 解 能 
从 细节 观察 能 力 .分 类 灵活 性 和 信息 排序 能 力 等 ;其 
估 得 质 要 求 主要 有 :注重 细节 批判 性 思维 、 注 重 完整 
性 和 可 靠 性 独立 性 主动 性 、 合 作 性 ` 抗 压 性 ,坚持 等 。 
OO 笔者 重点 讨论 专职 的 信息 服务 行业 个 人 数据 保护 
他 管理 职能 ,因此 笔者 对 本 文 2. 2 小 节 提 到 的 1 F 
夭 将 记录 ,进一步 限定 职位 名 称 中 包含 "privacy "或 者 
“ 喇 "或 者 "CDPR" , 共 得 到 35 份 有 效 统计 源 。 其 中 ， 
高 答 . 中 高 级 .初级 .助理 .总 监 /主管 各 级 别 的 招聘 公 
i 份 数 分 别 为 9.12 .6.7 和 1。 这 些 招聘 公告 对 能 力 

个 质 的 要 求 多 种 多 样 , 语 言 表述 也 是 五 花 八 门 。 

笔 和 通过 概念 抽取 ,首先 归纳 出 86 种 能 力 和 其 他 特 
MES ,进一步 进行 概念 提炼 和 归纳 ,得 出 20 种 能 
( 免 甸 2) 。 除 了 对 “沟通 能 力 "都 特别 重视 外 ,高 管 


对 比 0* NET 和 领 英 的 能 力 和 其 他 素质 要 求 ,可 
以 看 出 两 者 都 非常 重视 与 人 交流 的 能 力 和 分 析 问 题 的 
能 力 。 相 对 来 讲 , 领 英 平台 的 招聘 公告 更 注重 沟通 能 
71 ,而 对 问题 敏感 性 基本 没有 提 到 。 从 隐私 法 律 风 险 
管理 视角 来 看 ,问题 敏感 性 \ 解 决 问题 的 能 力 是 非常 重 
要 的 。 另 外 ,也 有 4 份 招聘 公告 比较 注重 个 人 数据 保 
护 官 的 商业 意识 。 笔 者 借鉴 上 述 归纳 的 能 力 类 型 ,并 
综合 考虑 本 文 第 3 章 内 容 , 利 用 杨 和 查 普 曼 的 能 力 模 
型 , 即 基 本 能 力 方面 . 认 知 理解 能 力 方面 个 人 技能 
面 人 际 能 力 方面 .工作 事务 方面 和 其 他 77 ,归纳 分 
析 国 外 个 人 数据 保护 官 的 能 力 要 求 。 其 中 ,将 “个 人 技 
能 方面 " 放 在 前 面 进行 了 总 结 ,这 里 主要 是 按照 其 他 5 
类 进行 划分 : 

(1) 基 本 能 力 方面 主要 包括 表达 能 力 ( 口 头 和 书 
面 ) 应 用 技术 的 能 力 等 。 

(2) 认 知 理解 能 力 方面 主要 包括 问题 敏感 性 、 推 
理 分 析 能 力 . 评 佑 能力、 信息 管 理 能 力 ,排序 风险 要 素 
能 力 .解决 问题 能 力 ,学习 能 力 等 。 

(3) 人 际 能 力 方面 主要 包括 沟通 能 力 、 协 作 合作 
能 力 、 人 际 交往 能 力 、 关 系 管理 能 力 等 。 

(4) 工 作 事 务 方面 主要 包括 影响 力 、 领 导 能 力 i 
训 能 力 等 。 这 些 能 力 有 助 于 个 人 数据 保护 官 提高 其 工 
作 效 率 和 质量 ,前 两 项 能 力 更 是 高 层 位 置 的 个 人 数据 
保护 定 所 应 具备 的 。“ 培 训 能 力 ” 是 个 人 数据 保护 官 
实现 其 “使 能 者 "角色 的 关键 能 
(5) 其 他 方面 如 特质 ,主要 包括 : 抗 压 能 力 、 适 应 
复杂 和 快 节 奏 工 作 能 力 、 时 间 管 理 、 善 于 观察 细节 、 独 
立 性 和 正直 等 。 个 人 数据 保护 官 的 职责 在 性 质 上 属于 


层次 和 总 监 /主管 层次 还 强调 了 管理 能 力 , 中 高 级 层 
次 和 助理 层次 还 强调 了 分 析 能 力 ,初级 层次 比较 看 
重 表达 能 力 。 


沟通 能 方 
熟悉 GDRP.33—4t— — ArUrüb 7) 
识别 问题 能 力 ac NC 表达 能 力 
影响 力 K” Ji- 管理 能 力 
SZ KE T 
同时 完成 多 项 工作 / RAT x 小 人 际 关系 
axr HAM | | 团队 组 织 能 力 
商业 头脑 合作 能 力 
注重 细节 < 、、 _ > 复杂 快捷 环境 适应 力 
战略 能 力 解决 问题 能 力 
行动 能 方 一 | 一 一 学 习 能 力 


创新 能 力 


图 2 领 英 平台 个 人 数据 保护 官 招 聘 信息 中 所 要 求 
的 能 力 类 型 及 其 出 现 频 率 


管控 ,经 常会 受到 来 自 监管 要 求 与 业务 发 展 两 方面 的 
压力 ,环境 复杂 ,隐私 法 律 风 险 存在 于 很 多 工作 细节 
中 。 因 此 ,不 仅 要 具有 解决 问题 的 能 力 ,还 必须 要 能 承 
受 住 这 些 压 力 ,对 复杂 和 快 节奏 环境 有 很 强 的 适应 能 

目前 ,市 场 上 出 现 了 一 些 与 个 人 数据 保护 职业 有 
关 的 专业 性 证 书 ,用 以 衡量 一 个 人 是 否 具 备 了 个 人 数 
据 保护 官 的 资质 。 如 国际 隐私 专业 协会 IAPP 颁布 的 
CIPP( 信 息 隐 私 专业 认证 ) .CIPM( 信息 隐私 经 理 认 证 ) 
和 CIPT( 信 息 隐 私 技术 专家 认证 ) ,美国 医疗 行业 认证 
和 发 布 的 CHPS( 保健 隐私 和 安全 认证 ) 和 HCISPP ( 医 
疗 信息 与 隐私 安全 员 认 证 ) 等 。 
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5 对 我 国 发 展 个 人 数据 保护 官职 业 的 
启示 


5.1 在 组 织 机 构 内 部 积极 部 署 个 人 数据 保护 官职 位 
体系 
我 国 近年 来 越 来 越 重视 对 个 人 信息 的 保护 ,先后 
出 台 的 《刑法 (修正 案 )》《 网络 安全 法 ) 等 在 法 律 上 强 
化 了 对 个 人 信息 的 保护 ,同时 通过 《信息 安全 技术 - 个 
人 信息 安全 规范 》 等 一 些 标准 对 组 织 机 构 开展 个 人 信 
息 保护 给 予 了 较为 具体 的 指导 。 在 此 背景 下 ,我 国 也 
开始 有 企业 设置 个 人 数据 保护 官职 位 ,如 360 奇 虎 和 
芝麻 信用 分 别 于 2012 年 .2016 年 设立 了 CPO 职位 ， 
2018 年 东航 、 高 新 科技 集团 、 华 为 等 分 别 设立 了 DPO 
职位 .CDPR 审计 专家 职位 和 隐私 工程 技术 专家 职位 
等 一 然 而 无 论 是 从 领 英 平 台 招 聘 公告 还 是 从 百度 搜索 
Tr 本 土 企 业 设置 个 人 数据 保护 官 
你 的 非常 少 。 从 发 展 趋势 来 看 ,我 国 各 类 组 织 机 构 
LHE. 


C A 


GO 从 国内 外 学 者 相关 研究 和 目前 领 英 平台 招聘 公告 
现 热 来 看 , 越 来 越 多 的 组 织 机 构 认识 到 个 人 数据 保护 
党 神 防 范 隐 私法 律 风险 方面 的 作用 ,但 参差 不 齐 的 招 
聘 从 告 内 容 显示 , 仍 有 部 分 组 织 机 构 对 隐私 风险 管控 
答 漂 不 够 ,过 于 强调 对 外 沟通 职责 ,实际 是 强调 公关 作 
用 6 这 种 现象 值得 深思 。 我 国企 业 在 设置 个 人 数据 保 
扫雷 时 ,对 其 职责 的 规划 要 注意 加 强 隐私 风险 防范 和 
管 输 的 要 求 ,这 种 要 求 是 组 织 机 构 积 极 实施 个 人 数据 
保护 措施 的 重要 推动 力 。 
5.3 ”加 强 个 人 数据 保护 官 人 才 的 培养 和 权威 认证 
我 国 组 织 机 构 在 规划 个 人 数据 保护 官 的 类 型 . 职 
位 .职责 和 能 力 素质 要 求 时 ,可 以 借鉴 上 述 国外 已 有 经 
验 ,可 以 设立 类 似 CIPP、CIPM 和 CIPT 的 认证 。2018 
年 5 月 在 北京 召开 的 “第 二 届 中 国 数据 安全 治理 高 峰 
论坛 "会 上 ,有 与 会 者 表示 希望 新 成 立 的 “中 国 网 络 安 
全 与 信息 化 产业 联盟 数据 安全 治理 委员 会 "做 些 (个 
人 数据 ) 安全 人 才能 力 认证 的 工作 。 这 种 认证 工作 有 
利于 培养 权威 性 的 个 人 数据 保护 官 人 才 。 另 外 ,国外 
市 场 已 开始 出 现 提 供 DPO 方案 的 咨询 服务 ,如 欧洲 意 
见 与 销售 研究 学 会 提供 的 “ESOMAR 加 服务 "包含 了 
这 项 内 容 9 ,我 国 也 可 以 开展 类 似 咨询 服务 ,从 专业 
视角 帮助 各 类 组 织 机 构 设 计 自 己 的 个 人 数据 保护 官职 
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责 与 任职 要 求 。 
总 而 言 之 ,作为 一 个 新 兴 职 业 ,个 人 数据 保护 官 在 

组 织 机 构 中 充当 什么 样 的 角色 ,承担 什么 样 的 职责 以 

及 需要 什么 样 的 知识 结构 和 能 力 素质 ,都 还 需要 通过 

实践 和 研究 不 断 进行 规划 和 完善 ,同时 也 非常 需要 国 

内 外 业界 的 经 验 交 流 和 相互 切磋 。 
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The Concept, Responsibility and Ability of Personal Data Protection Officer Abroad 
Wan Ling 
School of Management, Hebei University, Baoding 071002 


stract. [ Purpose/ significance | This paper summarizes and analyzes the meaning, type, responsibility and abili- 


ty-qdality requirements of foreign personal data protection officers in theory, and provides academic analysis and sugges- 
e 


tigris for the application of China’ s practical field. [ Method/process | The origin and meaning of personal data protection 


offi trs are examined through literature backtracking. Based on the KSAO model and the ability model of Yang and Chap- 
mar? this paper sums up the responsibility system and ability quality requirements of foreign personal data protection of- 
fife from the perspective of risk management , referring to the recruitment bulletins of the personal data protection officer 
in ihe Linkedin and the related professional specifications of US O * NET system. | Result/conclusion | At present, there 
are-yarious types of personal data protection officers abroad, including business type and consultant type. From the per- 
spkgjive of risk management, the personal data protection officer takes on the important responsibilities of the privacy legal 
risk management and control. In order to complete these responsibilities, the personal data protection officer needs rele- 
vant privacy legal knowledge, information analysis knowledge and so on, needs the abilities of being sensitivity to prob- 
lem, solving problem and good communication, and needs to be able to pay attention to details and adapt to the complex 
and rapid working. 


Keywords: personal data protection officer privacy abilities | responsibilities 
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